为 Windows 端点配置自我修复回滚
编辑为 Windows 端点配置自我修复回滚
编辑当启用的保护功能生成预防警报时,Elastic Defend 的自我修复功能会回滚 Windows 端点上的文件更改。在预防警报之前的五分钟内主机上发生的文件更改将恢复到其先前状态(可能在警报之前最多两小时)。
这有助于控制恶意活动的的影响,因为 Elastic Defend 不仅会停止活动,还会擦除在检测之前部署的任何攻击工件。
自我修复回滚是 铂金版或企业版订阅 功能,并且仅支持 Windows 端点。
此功能可能导致永久性数据丢失,因为它会覆盖最近的更改并删除主机上最近添加的文件。自我修复回滚针对与检测到的威胁相关的更改,但也可能包括与威胁没有直接关系的偶然操作。
此外,回滚由每个 Elastic Defend 预防警报触发,因此在启用此功能之前,您应该调整系统以消除误报。
- 在导航菜单中查找 策略,或使用 全局搜索字段,然后选择要配置的集成策略。
- 向下滚动到策略底部,然后单击 显示高级设置。
- 为设置
windows.advanced.alerts.rollback.self_healing.enabled输入true。 - 单击 保存。